漏洞

VDOO 研究团队在多个供应商的设备中发现了 0day 漏洞。根据漏洞披露原则,这些漏洞首先向厂商披露,随后会逐步公开。
上一篇详细介绍了Bitdefender 杀毒软件产品中的整数溢出问题。虽然仅依靠这些内容足以向供应商提交一份漏洞报告,但Pagefault还通过提供一个概念验证(PoC)漏洞利用来进一步支持该报告。
在软件漏洞的“万神殿”中,安全软件中出现的漏洞被认为比其他软件中的漏洞更加严重。由于依靠安全软件来抵御攻击者,我们的防御系统中的漏洞不仅允许攻击者造成伤害,还会给我们带来错误的安全感。
格式化字符串是CTF比赛中很常见的一种pwn题,但是往往需要自己手工调试,如果可以快速利用该漏洞拿到一血,这无疑可以很大的鼓舞选手的信心,并且有丰厚的分值奖励。
面向意大利公司的DMOSK恶意软件;黑客利用Prowli僵尸网络获利,全球已有超过4万台设备沦陷;Facebook隐私问题“影响1400万用户”;与俄罗斯有联系的Sofacy APT集团在上一次活动中采用了新的战术和工具。
360信息安全部依靠通过对各类攻击威胁的深入分析及多年的安全大数据积累,旨在区块链时代为数字货币钱包厂商提供安全性建议,保障厂商与用户的安全,因此发布数字货币钱包安全白皮书为其作为参考。
某信用卡漏洞:额度可提15万 瞬间被撸走25亿;施耐德电气发布 SoMachine Basic 安全更新,修复一个XXE漏洞;
CVE-2018-1130:linux内核dccp_write_xmit函数中存在空指针解引用;Windows上用QEMU安装ARM版Debian时网卡驱动的坑;基于区块链域名的僵尸网络病毒分析;卡巴斯基对VPNFilter和C2通信机制的详细分析。
以太坊erc20智能合约存在漏洞,transferFrom转账函数校验不严格,导致攻击者可以转走任意用户的代币。
CVE-2018-8013:Apache披露了一个反序列化漏洞;CVE-2018-10356:趋势科技电子邮件加密网关5.5中的SQL注入远程执行代码漏洞可能允许攻击者在易受攻击的安装上执行任意SQL语句。